第584号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 シニアマネージャー)
題:「日本における医療ISACの活動展望」

第557号コラム:「医療分野の情報共有分析センター、H-ISAC JAPANの設立について」で舟橋理事が一般社団法人メディカルITセキュリティフォーラム(以下、「MITSF」)による、米国におけるヘルスケア分野でのサイバー脅威情報の分析・共有等に取り組むH-ISACとの業務連携について触れているが、本コラムでは、現時点の情報に基づき、当該取組について補足を行わせて頂きたいと思う。

MITSFではH-ISACとの業務連携を行い、2019年2月に記者会見を行った点については舟橋理事のコラムでも触れている通りだが、その後、2019年7月に、国内の主要医療・介護関係団体、医療情報システム・機器事業者、並びにその他の関係組織を交え、第1回(2019年7月)、第2回(2019年9月)の評議会(H-ISAC Japan Council)を開催するに至っている。サイバー脅威への取組の重要性を認識する各関係団体・組織が一堂に集い、今後の日本における医療・介護業界にて同じセキュリティに係る志のもとで、協議を重ねる場が開催されている状況である。具体的なアウトプットにはまだ至っていないため、MITSFとしての公表も十分ではない状況だが、既にこのような公益的に重要な取組が民間主導で開始されている点については、皆さまにぜひとも共有させて頂きたい。

日本の医療業界は内閣サイバーセキュリティセンター(NISC)において重要インフラの一つと位置付けられながらも、セキュリティに積極投資を図ること、あるいはセキュリティ対応部門を創設し、取組を展開すること自体が難しいという、日本固有の構造的な課題がある。これは医療と深く連動する介護業界においてより顕著であり、そもそも年々圧縮される診療/介護報酬の中で、目の前の患者をケアする緊急性(「攻めの姿勢」)と患者情報の機微性を配慮した情報管理の徹底化(「守りの姿勢」)をいかに費用対効果の面で両立するかという課題ともいえる。しかしながら、「攻めの姿勢」で守られた患者の将来的なQOL(生活の質)を考えた場合、一定の「守りの姿勢」はやはり重要となる。例えば、隠したい大病故の救急対応で回復した患者の機微情報が、例えば杜撰なセキュリティ管理状況のため漏洩し、関係者に知れ渡ってしまうというリスクシナリオを考えてみよう。当該患者はその後、回復した人生を今まで通り十分に全うすることができるのであろうか。自身が患者の立場で想像すれば、答えは「No」である。漏洩した情報は本人にとっては消すことのできないデジタルタトゥーであり、現代のデジタルな生活環境のなかではその後の社会生活に著しい影響を及ぼすものといえる。

こうした意味でも、例えば、当今話題となる「デジタルトランスフォーメーション」(「DX」)を医療・介護業界において考えた場合、それはセキュリティ上の構造的な課題と切っても切り離せない関係にあることが分かるだろう。この日本固有の構造的な課題に真摯に向かいあわないかぎり、医療・介護業界の「DX」とは日本では単なるバズワードで終わるのでないかと懸念している。

MITSF/H-ISACとの業務連携による日本でのISAC活動の推進の一方で、多くの方々もご存じの通り、厚生労働省等の官公庁においてもISAC的な活動についての検討が進められている状況でもある。だが、ISACの歴史を紐解けば、民間主導の守秘性の高いコミュニティの中での情報共有・分析が活動の中心となる。日本固有の医療・介護業界のセキュリティ事情を考慮すると、民主道のボトムアップ的な活動との連携・協議のもとで、官主導のトップダウン的なアプローチが行われることが、ボトム/トップ一体型の有益な効果を上げるのではないかと個人的には考えているが、これは今後の話となるであろう。

いずれにせよ、日本においても医療・介護分野におけるISACの取組の進行・検討が行われていることは、医療・介護の公益性の観点からも極めて重要であり、2020年オリンピック・パラリンピック等を考慮しても、官民が一体となって取り組んでいかなければならない事項であろう。このような状況下で、MITSFは2019年10月1日付で一般社団法人医療ISACへと名称を変更し、同年10月24日には、H-ISACとの合同ワークショップ(セミナー)を東京で開催する予定となっている。今後、同団体の活動に皆さまも注目していただければと思う。

【著作権は、江原氏に属します】